«Почини», «Выуди», «Взломай»: как прошёл Т-Capture the Flag

Рассказываем, как 7 тысяч ИТ-специалистов из России, Казахстана и Беларуси два дня решали задачи по информационной безопасности и охотились за флагами.

«Почини», «Выуди», «Взломай»: как прошёл Т-Capture the Flag

Капибары и 16 городов

Т-Банк регулярно проводит мероприятия для ИТ-сообщества. В прошлом году это был IT’s T-Solution Cup, масштабный ИТ-Пикник в Коломенском и, конечно, Т-Capture the Flag (T-CTF) — соревнования по спортивному хакингу, цель которых — найти флаг, решая задачи на веб-безопасность, инфраструктуру, криптографию, логику и смекалку.

В прошлом году ежегодные международные соревнования T-CTF собрали 6 000 участников. Мы получили много эмоций — и не только от «новичков» в теме инфобезопасности, которые решили примерить на себя роль хакеров, но и от опытных специалистов по информационной безопасности. Положительные отклики и увлеченность участников показали, что тема интересна ИТ-сообществу, поэтому останавливаться на достигнутом мы не стали.

В конце весны 2024 года мы провели T-CTF в 16 городах России, Беларуси и Казахстана. Продвижение и популяризация культуры информационной безопасности – наша цель. Безопасность кода, приложения или сервиса — это то, о чем важно помнить любому ИТ-специалисту. Мы стремимся делать соревнования по инфобезопасности более увлекательными, поэтому в основе заданий лежат различные отсылки к мемам, популярным фильмам и музыке. Подробнее об этом – ниже.

Маскотом соревнований традиционно стала капибара — одно из самых мемных животных Сети
Маскотом соревнований традиционно стала капибара — одно из самых мемных животных Сети

Что насчет заданий

Задачи T-CTF на веб-безопасность, инфраструктуру, криптографию были разработаны с участием профессиональных экспертов из сферы инфобезопасности. Чтобы привлечь внимание ИТ-сообщества и вовлечь как можно больше людей в тему инфобезопасности, все они были переложены на известные мемы, отсылки к поп-культуре, популярным песням и фильмам. Весело и совсем не скучно. Участникам потребовался весь их хакерский кругозор и смекалка, чтобы разобраться с загадками.

Все задания — задачи, с которыми чаще всего сталкиваются «белые хакеры», — были разделены на три группы: «Почини», «Выуди», «Взломай».

Например:

Выуди. Ученые разработали шлем полной защиты от психоизлучателей. На финальном испытании по шлему ударили гипнолучом максимальной мощности. Шлем выдержал, но отразил луч в одного из ученых. Помогите извлечь из его сознания все пакеты гипнотических данных.

Почини. «Этсамое, я и тарелку крутил, и инструкцию перечитал, и даже тапком по телику жахнул — не фурычит, елки-палки. Ты посмотри там, че да как, за мной не заржавеет»‎, — говорит вам усатый мужичок и протягивает ресивер. Поковыряйтесь в прошивке и верните телевидение.

Сломай. Аутстаф-компания заманила разработчиков интересными задачами, а потом заперла их на настоящей галере, приковала к веслам и отправила в плавание. Освободите команду — взломайте систему управления кандалами.

И многое другое.

«Почини», «Выуди», «Взломай»: как прошёл Т-Capture the Flag
«Почини», «Выуди», «Взломай»: как прошёл Т-Capture the Flag
«Почини», «Выуди», «Взломай»: как прошёл Т-Capture the Flag

Как это было: 5 830 найденных флагов

В соревновании этого года, как и прошлого, участвовали специалисты по информационной безопасности, разработчики, системные аналитики, а также другие ИТ-специалисты, которые хотели попробовать свои силы в этой теме.

Всего заявки на участие подали 10 000 человек, но до самой битвы дошли только 7 000 самых смелых. Большинство команд участвовало в первый раз, но и опытных специалистов было немало.

Соревнования проходили онлайн и офлайн. Более 900 офлайн-участников собрались на 16 площадках в Центрах разработки Т-Банка в Москве, Санкт-Петербурге, Нижнем Новгороде, Екатеринбурге, Новосибирске, Казани, Воронеже, Самаре, Омске, Саратове, Ижевске, Сочи, Красноярске, Калининграде, Минске и Алма-Ате.

«Почини», «Выуди», «Взломай»: как прошёл Т-Capture the Flag

Все участники разбились на команды и соревновались в двух лигах в зависимости от своего опыта:

  • Лига новичков — те, кто ранее не участвовал в CTF, — 6 500 человек.

  • Лига опытных — специалисты по информационной безопасности или те, кто уже участвовал в таких соревнованиях, — 500 человек.

В команде могло быть от одного до трех участников. За решение каждой задачи команда получала флаг — уникальную комбинацию символов. Загрузил флаг на страницу задания, получил баллы, делаешь следующее задание. Быстрее, выше, сильнее. Кто набрал больше всего баллов, тот и победил.

5 839 — столько раз участники успешно сдали флаг. Все вместе они заработали более 2 млн баллов.

Итоги и отзывы участников

В результате шесть команд стали призерами турнира — по три команды в каждой лиге. Суммарный призовой фонд соревнований составил 1 500 000 ₽.

Лига опытных:

1-е место — Маленький хомяк с еще большими плечами точка PAS

2-е место — Bulba Hackers

3-е место — МНС

Лига новичков:

1-е место — Секта Свидетелей Статической Линковки

2-е место — Mellinc

3-е место — NOOBZ

Организаторы тщательно проверяли каждую команду на антифрод и на соответствие команды выбранной лиге (опытные не могли принять участие в лиге новичков и наоборот).
Организаторы тщательно проверяли каждую команду на антифрод и на соответствие команды выбранной лиге (опытные не могли принять участие в лиге новичков и наоборот).
Шеринг – означает, что команда обменивалась флагами с другими командами. Сотрудники Т-Банка, которые тоже могли принять участие в соревнованиях, шли в отдельном зачете.
Шеринг – означает, что команда обменивалась флагами с другими командами. Сотрудники Т-Банка, которые тоже могли принять участие в соревнованиях, шли в отдельном зачете.

В прямом эфире за команды болели друзья, коллеги и просто неравнодушные наблюдатели. Они могли следить за ходом соревнований в скорборде.

По итогу эти два дня пролетели незаметно. В классной компании все решали задачи, смеялись, общались и весело проводили время. Про фотографии тоже не забыли!

Международные соревнования T-CTF 2024 успешно прошли и собрали заметно большее количество участников в этом году (относительно предыдущего года). С каждым годом мы видим, как наше ИТ-комьюнити прирастает и неизменно расширяется. А следующее мероприятие для ИТ-специалистов мы проведем 17 августа — это будет крупнейший семейный фестиваль «ИТ-Пикник», который пройдет в музее-заповеднике «Коломенское» в Москве.

77
33
14 комментариев

Зачетное мероприятие. И текст информативный. Благодарю за стоящую инфу!

Никому не советую пользоваться данным банком.
У себя на странице рассказал историю, о том как Тинькофф, без объяснения причин могут исключить вас из программы лояльности.
Перед тем как пользоваться услугами Т-Банка, подумайте несколько раз.

Здравствуйте. Мы дали ответ по вашей ситуации под постом. Ошибки нет.

1

Подтвержу, весь 23 год у них была уязвимость которая позволяла воровать переводы, уязвимость заключилась в том что мошенник выпускал на свой счет детскую карту, но при ее регистрации указывал данные человека у которого хотел подрезать деньги и это не требовало никакого смс подтверждения. Они не могли целый год ввести обычное смс подтверждение, а лично меня отправили в полицию сбросив с себя все обязательства. Из за их халатности и отношения многие люди потеряли свои деньги на что банк тут же в комментах говорил «никому не говорите свое фио и номер», ну не гении ли а?

1

Оу, ну слушайте, не каждый день увидишь, как IT-соревнования сочетаются с мемами и поп-культурой. Свеженький подход к формату, ставлю лайк.

Правильно, как же еще молодежь завлекать в it сферу, только мемами, только так 😂😂